Amiga Netzworking... von Markus Bordihn


Dieser Netzwerkkurs wurde von Markus Bordihn geschrieben.

Ihr dürft den Kurs komplett kopieren und auf CD oder Diskette oder auf eure Homepages stellen, solange nichts daran geändert wird.


1. Einführung

Zuerst mal eine kleine Einführung, für was so eine Netzwerk überhaupt zu gebrauchen ist.
Ein Netzwerk verbindet zwei verschiedene oder gleiche Computer miteinander, so dass jeder Computer auf die Geräte und Daten des anderen Computer zugreifen kann, so können z.B. 2 oder mehrere Computer über ein Modem gleichzeitig im Internet surfen.

Nachteile von Netzwerken:
  • Computer müssen sich die Bandbreite teilen (vor allem bei Modem schlecht...).
  • Fängt sich das System einen Virus ein, kann dieser alle anderen Rechner auch angreifen, natürlich nur, wenn die Rechner gleich sind, ein AMIGA kann sich keinen MAC Virus einfangen.

Vorteile von Netzwerken:
  • Unkomplizierter Datenaustausch
  • Zugriff auf gemeinsame Ressourcen (CD-ROM, HD usw...)
  • Schnelleres Raytracing, es können mehrere Rechner gleichzeitig eine Szene rendern
  • Einfache Kontrolle über die Rechner

Wie hier ganz klar hervorgeht, überwiegen die Vorteile eines Netzwerkes, nur leider ist es recht kompliziert, wenn man alles realisieren will, z.B. der Zugriff auf den AMIGA über ein M$ Netzwerk.
Aber deswegen gibt es ja den Kurs hier... ;)


2. Grundlagen von TCP/IP

Einführung in Internet Protokoll (IP)

Das Internet Protokoll ist für den reibungslosen Ablauf aller
Dienste im Internet bzw. Netzwerk zuständig!
Dabei benötigt man die IP z.B. f�r:

- Routing bzw. Tracing
- Identifizierung von Computern
- Datenübermittlung
- ...

Die wichtigsten Dienste der IP sind:

0 = IP (Internet Protokoll)
1 = ICMP (Internet Control Message-Protokoll)
2 = IGMP (Internet Group Management-Protokoll)
6 = TCP (Transmisson Control-Protokoll)
8 = EGP (Exterior Gateway-Protokoll)
17 = UDP (User Datagram-Protokoll)
22 = XNS-IDP (XEROX NS IDP)
29 = ISO TP4 (ISO-Transport-Class-4-Protokoll)
30 = NETBLT (Bulk Data Transfer-Protokoll)
80 = ISO-IP (ISO Internet-Protokoll)
...

Für das Internet werden nur folgende benötigt:

0 = IP (Internet Protokoll)
1 = ICMP (Internet Control Message-Protokoll)
2 = IGMP (Internet Group Management-Protokoll)
6 = TCP (Transmisson bzw. Transfer Control-Protokoll)
17 = UDP (User Datagram-Protokoll)
255 = RAW (???)

Die IP ist also für den reibungslosen Zugriff auf Rechnernetzwerke zuständig.
Deswegen darf auch keine IP-Adresse mehrfach vorkommen bzw. fehlerhaft sein.
Zu diesem Zweck wurden die IP-Netzklassen eingeführt. Diese Netzklassen geben genaue Auskunft über Netzadresse und Rechneradresse.
So kann man ohne großen Aufwand einen Rechner mit Hilfe seine IP ausfindig machen.
Beim Internet kann man sogar feststellen, welcher Benutzer z.B. in einem fremden Rechnernetzwerk war.
Diese geschieht mit Hilfe der IP.
Dabei wird durch die Logdateien angezeigt, welcher User mit dieser IP im Netzwerk bzw. Internet zu der angegebenen Zeit war.
Die IP wird auf jeden Rechner anders dargestellt, entweder dezimal, oktal oder hexadezimal.
Eine IP-Adresse besteht meist aus zwei Teilen, wobei ein Teil die Netzwerkadresse angibt und der andere die Rechneradresse.
Bei den meisten Rechnern wird deshalb die IP dezimal angezeigt, wobei die einzelnen Stellen durch einen Punkt (Dotted Decimal Nation) getrennt werden.
Bei dieser besonderen Darstellung der IP kann man jedoch nicht genau festlegen, welcher Teil zur Netzwerkadresse gehört und welcher zur Rechneradresse.
Deshalb wurden die Netzklassen eingeführt.


IP-Netzklassen

Die IP-Adresse wird weltweit in 5 Adressklassen unterteilt: A, B, C, D und E.
Die ersten Bits geben dabei jeweils die Zugehörigkeit zu der Adressklasse an.
Man kann aber auch die Adressklasse an der dezimalen Punktdarstellung ablesen.

IP Tabelle

Nun ergibt sich aber folgendes Problem, je nach Adressklassen sind unterschiedliche IP-Adressen frei.
Die Adressklassen haben folgende Größenordnung: A-B-C-D-E
Deswegen stieg man auch von Adressklasse B auf Adressklasse C um, um den Anstieg der Internetbenutzer zu realisieren.
Dies heißt aber auch, dass die Klassen A und B kaum noch vergeben werden oder nur unter hoher Wichtigkeit.
Die Benutzung der C-Klassen für das Internet hat aber extreme Nachteile. Dies führt dazu, dass die Router im Internet für jeden Rechner einen eigenen Eintrag in der Routingtabelle benötigen.
Dies führt natürlich dazu, dass die Router sehr hohen Speicherplatzverbauch haben und zudem zusätzlich belastet werden.
Außerdem wird nun jede vergebene IP registriert, um so doppelte IP-Adressen zu vermeiden.

Dynamische IP und Statische IP

Im Internet wird versucht, möglichst wenige IP-Adressen zu verwenden. Deswegen gibt es meist im Internet dynamische IP-Adressen.
Das heißt, dir wird jedes Mal, wenn du ins Internet einloggst, eine IP-Adresse von einem extra IP-Server zugewiesen, die im Moment nicht benutzt wird.
Diese zugewiesene IP stammt von einem IP-Server des jeweiligen Netzes.
So kannst du auch erkennen, ob jemand z.B. von AOL (Lame); T-Online (Lame) oder GermanyNet (Wizard) sich ins Internet einloggt.
Weil jeder dieser Anbieter eine bestimmten Bereich der IP-Nummer besitzt.

Den Gegensatz zu dynamischen IP-Adressen bilden die statischen IP-Adressen.
Dabei hat jeder Rechner eine feste IP-Adresse, die nur dem Rechner vorbehalten ist.
Dies hat so seine Vorteile und Nachteile. Der Betreiber braucht für jeden Benutzer eine eigene IP-Adresse und IP-Adressen zu registrieren ist nicht gerade billig.
Der Vorteil ist der, dass ein Rechner immer unter derselben IP zu erreichen ist.
Deswegen haben alle wichtigen Rechner eine statische IP-Adresse (DNS-Server, WEB-Server, POP3-Server usw.).

TCP/IP beruht auf dem Prinzip, dass jeder Rechner im Netzwerk fest definiert ist.
Dies geschieht mit der IP (Internet Protokol). Jeder Rechner im Netzwerk oder Internet hat eine solche eindeutige IP, welche nur einmal vergeben ist.

Deswegen solltest du dir zuerst mal überlegen, welche IP-Adressen du in deinem Netzwerk verwenden möchtest.
Sie sollten einheitlich sein, z.B. du hast 3 Rechner:
123.45.67.1 - der erste Rechner
123.45.67.2 - der zweiter Rechner
123.45.67.3 - der dritte Rechner

Verboten sind die IP-Adressen 255.255.255.255, 0.0.0.0 oder 127.0.0.0.
Sonst kannst du alle Adressen von 0.0.0.0 bis 255.255.255.255 verwenden.

Ok, nachdem du dir deine IP-Adressen ausgesucht hast, musst du eine Subnet Mask festlegen. Die richtet sich nach der Anzahl der IPs.

Da wir von einem kleinen Netzwerk ausgehen, mit max. 255 Rechnern, ist die Subnet Mask in dem Fall 255.255.255.0.
Die Subnet Mask gibt an, wie viele Rechner unter der IP 123.45.67.? zu erreichen sind.
Das ist wichtig, damit ein Rechner aus dem Internet nicht auf das Heimnetzwerk zugreifen kann.

Ok, nachdem wir nun die IP-Adressen haben und die Subnet Mask, fehlt nur noch ein DNS-Server bzw. ein Gateway.
Am besten nimmst du den schnellsten Rechner im Netzwerk her, um ihn als Gateway und DNS-Server zu verwenden.

Nun mal, was der DNS-Server macht......


Einführung in DNS (Domain Name Server)

Unter DNS (DomainNameServer) versteht man einen hierarchischen Directory Service,
der Name-zu-Adresse-Umsetzungen im Internet bereitstellt.
Dieser Server muss ernorm schnell und leistungsfähig sein, um das auch in einer
angemessenen Geschwindigkeit zu schaffen.
Aber nun mal zur Funktionsweise:

Da, wie schon vorher angesprochen wurde, keine IP-Adresse doppelt vorhanden sein
darf, braucht auch jeder Computer einen eindeutigen Namen.
Dieser Name muss aber im Gegestatz zur IP-Adresse nicht zentral vergeben werden.

Warum braucht man eigentlich einen Namen, reichen die IP-Adressen nicht aus?
Man braucht Namen für die einzelnen Internetadressen, da es recht schwer ist, sich die IP von ca. 10 - 20 Internetseiten zu merken!
Ich glaube, das kann keiner. Deswegen werden neben der IP auch Namen, sogenannte Host, verwendet.
So eine Host ist im Grunde wie eine IP aufgebaut, User@Netzwerk.
Deswegen kann man von der IP auf die Host kommen und umgekehrt.

Wenn nun jemand in seinen Browser z.B. http://www.reifanhp.de eingibt, schaut der DNS-Server in seiner Tabelle nach, zu welcher IP diese Host gehört.
So ein Eintrag kann so aussehen:
domain fanhp.de
nameserver xxx.xxx.2.1  ; Amiga
nameserver xxx.xxx.2.2  ; Rei
nameserver xxx.xxx.2.3  ; Anime
nameserver ???.???.?.?  ; ?

Das obige Beispiel zeigt einen kurzen DNS-Eintrag.
Wenn jemand die Host www.reifanhp.de aufruft, weiß der Server, dass er die IP-Adresse xxx.xxx.2.2 verwenden muss.
Bei www.Animefanhp.de die IP-Adresse xxx.xxx.2.3 usw.!
So ist jetzt für jeden Namen eine feste IP festgelegt, und der DNS verweist dann automatisch alle Anfragen auf die Host auf die entsprechende IP.


DNS-Anfragen mit nslookup

nslookup ist ein Tool für Administratoren, um ihr Netzwerk zu überpüfen.
Es kann z.B. beim Aufruf überprüfen, ob eine Zuordnung für die IP des Rechners auf dem DNS vorliegt, oder nicht.
sun# nslookup
Default Server: amiga.power.de
Address:  xxx.xxx.x.x

So sieht es aus, wenn es erfolgreich gestartet wurde.
Wenn z.B. die Zuordnung des DNS und der IP fehlt, kommt folgende Meldung:
sun# nslookup
*** Can´t find server name for address xxx.xxx.x.x: Server failed
*** Default servers are not available
sun#

Anmerkung: Wird bei der Server-IP-Adresse die Loopback IP (127.0.0.1) verwendet, wird die Überprüfung übersprungen.

Nachdem nslookup gestartet wurde, erscheint ein > und man kann mit seinen Anfragen beginnen.
Man kann z.B. eine Host eingeben und erhält die IP und anders herum.
Man kann mit nslookup noch mehr machen, aber damit kann dann ein unerfahrener User Schaden
anrichten!!!

Das Gateway ist die Verbindung von zwei getrennten Netzwerken, also in den meisten Fällen ist das Gateway die Verbindung zwischen dem eigenen Netzwerk und dem Internet.
Wenn eine Anfrage z.B. an IP 222.222.222.222 gehen soll, und diese IP ist nicht im eigenen Netzwerk zu finden, so versucht das Gateway die Anfrage weiterzusenden.
Deswegen sollte der Gateway-Rechner immer der Rechner sein, der auch im Internet hängt.


3. TCP/IP Verbindung über Nullmodemkabel erstellen (AMIGA <=> PC)

Nun kommen wir mal zum interessanten Teil. Jetzt erkläre ich Schritt für Schritt, wie man ein TCP/IP-Netzwerk zwischen einem AMIGA <=> PC mit einem Nullmodemkabel erstellt.
Das Nullmodemkabel ist ein serielles Kabel, wo zwei oder mehrere Leitung gekreuzt sind.
Deswegen ist es mit jedem Rechnersystem verwendbar, solange dieses einen seriellen Port hat.
Der Vorteil von Nullmodemkabeln ist, sie müssen meist nicht installiert werden und können über ein TERMINAL-Programm wunderbar schnell Daten austauschen.
Deswegen werde ich kurz mal das TERMINAL-Programm ansprechen.

Einführung in TERMINAL-Programm und Benutzung

Zuerst mal braucht ihr ein Terminal-Programm für den Amiga, das ihr sehr einfach im Aminet findet mit den Suchbegriffen "TERM und COMM".
Ok, nachdem ihr das Terminal-Programm (hier TERM) installiert habt und das Nullmodemkabel an beide Rechner angeschlossen habt, müsst ihr nur noch schnell was konfigurieren.



Hier seht ihr die Option Schnittstelle. Ihr müsst darauf achten, dass die Baud-Rate auf beiden Seiten dieselbe ist. Das Maximum, was meist geht, ist 115200, bei Bits sollten 8 stehen und bei Stopbits 1.
Das ist auch das sogenannte "8n1" Verfahren. Wenn ihr das einstellen könnt, nehmt das. Es ist dasselbe. ;)



Nun müsst ihr nur noch das Protokoll einstellen, das ist meist "xprzmodem" oder nur "zmodem". Nehmt aber unbedingt, falls es die Option gibt, "ZModem mit Wiederherstellung". Ok, das wars dann eigentlich mit der Konfiguration beim AMIGA, nun mal zum PC.

Beim PC findet ihr unter "START" => Programme => Zubehör => Kommunikation => Hyperterminal, das TERM-Programm für den PC.
Wenn ihr es das erste Mal startet, fragt es wahrscheinlich nach einem Namen für die Verbindung und einer Nummer. Gebt als Name irgendwas ein und die Nummer ist auch egal.



Ok, im Programm geht ihr nun unter "Eigenschaften" und wählt den Port aus, wo das Nullmodemkabel dranhängt.
Danach klickt ihr auf den Knopf Konfigurieren und nun erscheint folgender Screen.



Hier müsst ihr wieder die Baudrate gleich Einstellen und auf "8n1" schalten, also 8 Bits und 1 Stopbit.
Danach klickt ihr einfach auf OK und ihr befindet euch wieder im Programm.



Nun geht ihr rechts oben im Menü auf Datei empfangen und stellt dort das Protokoll noch ein, in unserem Fall "ZModem mit Wiederherstellung".
Nun ist das Programm konfiguriert. Nun klickt ihr bei dem Term-Programm auf dem PC oben auf Trennen und anschließend wieder auf Verbinden.
Es ist natürlich klar, dass ihr das Programm auf dem Amiga schon gestartet habt.
Nun könnt ihr die Verbindung mal testen. Gebt einfach mal ein Wort ein, ihr werdet das Wort zwar nicht bei der Eingabe sehen, aber der andere Computer muss das Wort am Bildschirm ausgeben...
Nun könnt ihr mit dem TERM-Programm Dateien und Texte kopieren.. ;)

Aber nun mal zum echten Netzwerk.... ;)

Einstellungen beim Amiga

Der Amiga ist relativ schnell eingestellt, startet einfach MIAMI und folgt einfach Schritt für Schritt der Anleitung...



Also ihr müsst bei Schnittstellen natürlich auf seriellen Port stellen und die Baudrate auch einstellen.
Hier müsst ihr nun auch die IP des AMIGAs eingeben und schon ist die Seite fertig...



Auf dieser Seite müsst ihr eigentlich nichts machen, außer die Sachen so zu klicken, dass sie so aussehen...



Hier müsst ihr eigentlich nichts einstellen, außer bei Telefonnummer eine 0 oder irgendeine simple Nummer



Ok, was ihr hier seht, ist die Einstellung für einen kleinen internen DNS-Server. Hier könnt ihr allen IPs im Netzwerk einen Namen vergeben.
Ist recht sinnvoll, sowas einzustellen, da man dann mit "ping dose" oder "ping linux" weniger einzutippen hat, anstatt der ganzen IP.
Ihr solltet den Amiga an sich da auch reinschreiben, wenn ihr z.B. einen Webserver aufmachen wollt, ist das sehr nützlich.
Nachdem ihr hier alle eure IPs und Namen eingetragen habt, schreibt sie euch irgendwo auf Papier auf, dass ihr das bei jedem Rechner machen müsst.
Oder ihr gebt den Amiga als DNS-Server an. Dann müsst ihr das nur beim Amiga eintragen.



Hier müsst ihr den Hostnamen eingeben, also den Namen, unter dem ihr den AMIGA erreichen wollt.
Außerdem würde ich den Rest noch so einstellen wie hier, da ihr dann ein sehr stabiles Netzwerk habt.
Nun mal zur letzten Einstellungsseite für den AMIGA.



Ok, da wir hier ein Nullmodemnetzwerk machen, müssen wir hier natürlich auch angeben, dass es ein Nullmodem ist.
Damit ist die Einstellung fertig... Nun speichert ihr einfach die Einstellung am besten unter dem Namen "AmigaNullmodem" oder so und weiter geht´s zu den PC-Einstellungen.

Einstellungen beim PC

Zuerst mal, wenn ihr nicht Windows98 (SE) habt, müsst ihr euch die neuste Version des DFÜ-Netzwerkes holen. Die gibt es unter http://www.microsoft.com/Windows95/downloads/
contents/WURecommended/S_WUNetworking/dun13win95/language.asp
, oder ihr sucht in einer Suchmaschine nach dem Programm "MSDUN13.exe"
Dann installiert ihr das Update und dann kann es auch schon weiter gehen...



Ok, nun müsst ihr die Erweiterung installieren, die ihr -hier- downloaden könnt.
Einfach die INF-Datei auswählen, rechte Maustaste und auf Installieren klicken und schon ist das Nullmodem-Device auf dem PC installiert.



Nun geht ihr auf DFÜ-Netzwerk und Neue Verbindung erstellen.
Hier gebt ihr der Verbindung einfach mal einen Namen und wählt als Modem Nullmodem aus und klickt dann auf Weiter.



Hier tragt ihr als Rufnummer 0 oder was anderes ein, es muss nur dasselbe sein, wie auf dem AMIGA!



Nun einfach auf "Fertig stellen" klicken und fertig ist die Einstellung des Modems.



Nun müssen wir noch die neue Verbindung genauer einstellen, also einfach drauf klicken rechte Maustaste und dann auf "Eigenschaften".



Hier könnt ihr noch unter Konfiguration, wie beim Terminal-Programm, die Baudrate überprüfen, welche dieselbe sein sollte wie beim AMIGA und dann geht´s auch schon weiter.



Hier müsst ihr wieder alles so einstellen wie hier. Solltet ihr aber kein IPX für Quake oder Doom verwenden, oder NetBEUI für Samba, könnt ihr das vorerst erst mal ausschalten.



Danach klickt ihr auf "TCP/IP Einstellungen" und gebt hier eine IP für den PC vor.
Wenn ihr den AMIGA als DNS-Server verwenden wollt, tragt ihr beim ersten DNS-Server einfach mal die IP des AMIGAs ein.

Nun ist die Konfiguration im Großen um Ganzen fertig.

Einstellungen für PC für Proxy Server


Wollt ihr mit dem AMIGA und dem PC gleichzeitig im Internet surfen, müsst ihr beim PC noch ein Zusatzteil installieren.
Dazu geht ihr einfach zur "Systemsteuerung" und da auf "Software" und hier wählt ihr "Windows Setup" aus und da unter dem Punkt Verbindungen findet ihr den Punkt "private Virtuelles Netzwerk". Das installiert ihr dann und schon kann es weitergehen.

Nun ladet ihr euch am besten unter www.downloads.com den Proxyserver "JANA Server" runter und installiert ihn.

Nach der Installation geht ihr einfach unter Konfiguration und stellt die Hauptseite so ein wie hier.



Diese simple Grundeinstellung reicht erst mal, um mit dem AMIGA über einen Webbrowser im Internet zu surfen.
E-Mails abfragen oder IRC-Chat benutzen ist ein bisschen schwieriger und kommt deswegen erst später dazu... ;)



Den Screen hier solltet ihr auch noch einstellen. Wir wollen ja nicht, dass sich ein Cracker Zugang zu dem Proxy verschafft und dann irgendwas anstellt. ;)
Also hier tragt ihr alle IPs des Netzwerkes ein, entweder als Bereich von 170.100.128.1 - 170.100.128.3, oder jede IP einzeln.
Wenn ihr jede IP einzeln eintragt, könnt ihr später die Rechte beliebig festlegen, z.B. AMIGA 02 oder PC 02 darf nur E-Mail holen usw..

Damit wäre alles eingestellt und nun geht es auf zu dem ersten Test.

Starten der TCP/IP Verbindung

Ok, nachdem ihr überprüft habt, dass das Nullmodemkabel richtig angeschlossen ist und am richtigen Port hängt, startet ihr auf dem Amiga MIAMI.
In Miami ladet ihr nun die erstellte Konfig rein und geht dann zum PC.
Es ist wichtig, dass MIAMI läuft, also das Fenster offen ist, bevor ihr zum PC geht.
Am PC startet ihr nun die DFÜ-Verbindung, aber noch nicht auf Verbinden klicken.
Ist das Fenster hier auch offen, geht ihr beim AMIGA bei MIAMI auf Online und ihr seht "wait connect" im Fenster.
Nun geht ihr wieder zum PC und geht auf Verbinden.
Jetzt müsste beim Amiga "HELLO" und die Rufnummer erscheinen, die ihr eingegeben habt, in unserem FALL die 0.
Nun drückt ihr beim AMIGA bei MIAMI auf "send break" und wartet ab, ob sich was tut. Es kann auch sein, dass ihr 2-mal drauf drücken müsst.
Wenn ihr alles richtig eingestellt habt, erscheint dann ein Fenster wo steht, ermittle TCP/IP Protokoll oder so und fertig ist die Verbindung.

Austesten der Verbindung

Ok, nun öffnet beim PC ein DOS-Fenster und gebt "ping (IP des AMIGAs)" ein:
C:\WINDOWS>ping 170.100.128.1

Ping wird ausgeführt für 170.100.128.1 mit 32 Bytes Daten

Antwort von 170.100.128.1: Bytes=32 Zeit=78ms TTL=255
Antwort von 170.100.128.1: Bytes=32 Zeit=75ms TTL=255
Antwort von 170.100.128.1: Bytes=32 Zeit=80ms TTL=255
Antwort von 170.100.128.1: Bytes=32 Zeit=77ms TTL=255

Ping-Statistik für 170.100.128.1:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0%
Ca. Zeitangaben in Millisek.:
    Minimum = 75ms, Maximum =  80ms, Mittelwert =  77ms


Wenn ihr sowas zurück bekommt, funkt. die Verbindung.
Solltet ihr aber irgendwas in der Art von sowas herausbekommen:
C:\WINDOWS>ping 170.100.128.10

Ping wird ausgeführt für 170.100.128.10 mit 32 B

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 170.100.128.10:
    Pakete: Gesendet = 4, Empfangen = 0, Verlore
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum =  0ms, Mittelwert =

so müsst ihr überprüfen, welcher Rechner den Fehler hat.

Aufsuchen des Fehlers

Um die Befehle Ping usw. beim AMIGA im Newcli (Shell) aufrufen zu können, müsst ihr diese zuerst vom MIAMI-Verzeichnis nach C: in eure Bootpartition kopieren.
Nun ruft ihr beim Amiga ein CLI auf, entweder, indem ihr die "AMIGA Taste" und "E" drückt und dann "newcli" eingebt, oder einfach auf das ICON klicken in "System".
Hier führt ihr nun einen Ping mit der festgelegten IP für den AMIGA aus. Kommen da keine Pings an, überprüft nochmal, ob die IP übereinstimmt und alle Einstellungen.
Kommt der Ping an, macht ihr dasselbe bei dem anderen Rechner, jeweils mit der für den Rechner festgelegten IP.
Nun sollte der fehlende Rechner gefunden sein und der Fehler beseitigt sein.

Proxy Server verwenden

Nun stellt ihr bei IBrowse, AWeb oder Voyager unter Einstellungen => PROXY die IP des PCs ein und als Portnummer den Port 8080.
Ihr könnt nun auch Offline testen, ob der Proxy funktioniert, wenn ihr irgendeine Seite aufruft. Der Proxy Server müsste dann eine Fehlermeldung bringen, Seite nicht gefunden.
Ok, sollte diese Meldung kommen und irgendwo was von JANA stehen, geht er perfekt... ;)
Nun könnt ihr euch mit dem PC ins Internet einwählen und gleichzeitig mit dem AMIGA surfen..;)

Portmapping

Portmapping ist eine Art Umleitung von Diensten über den Proxy ins Internet. Wie das aber genau geht, erkläre ich mal an dem Beispiel ein bisschen deutlicher...



Im Prinzip funktioniert das so wie bei der Vermittlung. Man ruft bei der Vermittlung an und sagt, mit wem man verbunden werden will. Dazu benötigt man natürlich den Namen und die Nummer der Vermittlung.
Bei TCP/IP ist die Nummer der Vermittlung eine selbst festgelegte Portnummer wie z.B. 1111 und der Name mit dem vermittelt werden soll, die Ziel-IP und evtl. den Ziel-Port...

Wie auf dem Bild zu sehen, sieht man, dass Internet und Netzwerk voneinander getrennt sind. Nur der Proxyserver steht zwischen beiden Rechnern, d.h. er ist die einzige Schnittstelle zwischen Internet und Netzwerk.
Will nun ein Rechner ins Internet, sendet er eine Anfrage zum Proxyserver auf Port 8080 z.B. für Internetseiten.
Der Proxyserver schaut in seine Tabelle nach und leitet die Anfrage ins Internet weiter und die empfangen Daten natürlich wieder zurück zum Sender.
Mit dieser Methode ist es also möglich, Nicht-Standard-Anwendungen über den Proxy laufen zu lassen, wie z.B. IRC-Client, Dynamite oder andere Internetprogramme...
Nachteil an der Geschichte ist, der Proxyserver braucht eine IP, also den Empfänger. Die kann nicht mit übertragen werden.
Ein kleines Beispiel:
AMIGA (Client/Netzwerk) sendet Anfrage an Proxy für Verbindung auf Port 1111.
Proxy schaut in Tabelle und sieht in der Tabelle, Port 1111 ist eine Weiterleitung zu dem Server 123.45.56.67 auf Port 6667 und leitet diese entsprechend weiter.
Die Tabelle dafür:
Client => Proxy:1111 => 123.45.67.89:6667
123.45.67.89:6667 => Proxy:1111 => Client


Wie hieraus hervorgeht, ist der Weg ganz klar festgelegt, das heißt, wenn ein anderer Server auf Port 1111 antworten würde, würde die Antwort wahrscheinlich nicht ankommen.
Ok, das macht bei IRC-Servern kein Problem, solange man nicht alle 5 Min. auf 20 verschiedene wechselt. Aber für so Online Spiele muss man dann, bevor man Spielen kann, immer die Server IP eintragen, falls diese noch nicht eingetragen ist.
Eine Liste von Standard-Ports:
4000 = ICQ Server Port (Standard)
6318 = Dynamite Server Port (Standard)
6667 = IRC Server Port (Standard)
8000 = HPMonopoly Port (Standard)
8875 = Amster Server Port (Standard)

Ich werde die Liste noch weitermachen, aber kann so Spiele wie Napalm oder so leider nicht austauschen, welchen Port sie brauchen, da ich solche Spiele nicht habe... :(
Aber nun mal zur Konfiguration von einigen Standard-Diensten wie IRC und ICQ und natürlich für Dynamite...
Aber es ist sehr ratsam, eine Liste zu machen, welche Proxy-Ports auf welchen Server gehen, da man ab 10 Ports langsam die Übersicht verliert... ;)

Konfiguration von JANA 1.x

Jana 1.x ist noch über ein GUI zu konfigurieren. Deswegen reichen hier eigentlich ein paar Screenshots aus.



Hier muss man erst mal einstellen, dass man Portmapping machen will, also dass der Proxy Server als spezielles Gateway fungiert.



Danach einfach auf "Extras" gehen und hier könnt ihr nun die Ports festlegen, die gemappt werden sollen.



Hier müsst ihr nun den Port eintragen, welchen der Proxy Server umleiten soll. Ihr solltet nicht denselben nehmen, der gemappt werden soll, weil, wenn es zu Fehler kommt, ihr eine fette Wiederholschleife drin habt und das Netzwerk sehr wahrscheinlich zusammenbricht.



Hier mal eine Eintragung von mir. Dieser Eintrag erlaubt auch die Benutzung eines IRC-Client über den Proxy. Die IP gehört zum Altnet IRC-Server. Ihr könntet hier natürlich auch die Host eintragen, z.B. irc.altnet.net.
Auf diesen IRC-Server findet ihr den Kannal #Amigafun ;) und mich unter dem Namen TrOjAn.
Um mit dem IRC-Programm nun auf den Altnet IRC-Server zu kommen, gebt ihr einfach beim IRC-Programm als IRC-Server euren Proxyserver an und als Port die Nummer 6666.
Wenn ihr oben eine andere Port-Nummer angegeben habt, gebt ihr natürlich diese ein.. ;)



Nun müsst ihr dafür natürlich wieder die Zugriffsrechte freigeben. Das macht ihr in diesem Screen.
Wenn ihr hier einen Bereich angegeben habt, bekommt der ganze Bereich die Rechte. Soll das aber nur ein einziger Rechner haben, müsst ihr diesen da eintragen.



Da ihr aber schon vorhin euren Rechner eingetragen habt, müsst ihr einfach nur die Rechte ändern und das Häkchen setzen für "extra Gateway" und schon fertig.
Nun könnt ihr über den Proxyserver ein IRC-Programm benutzen oder Dynamite spielen usw...

Konfiguration von JANA 2.x

Die Konfiguration von JANA 2.x funktioniert über den Webbrowser. Deswegen sind die meisten Optionen hier sehr genau erklärt.



Hier müsst ihr einfach auf "Administrator" klicken. Das Standardpasswort und Benutzername dafür ist "admin" und "admin".



Danach klickt ihr auf "Allgemein" und auf "Extra Gateways".



Hier könnt ihr zwichen UDP und TCP wählen. In den meisten Fällen müsst ihr immer TCP nehmen. UDP wird mehr für komplexe Porgramme wie Back Office benötigt.



Hier tragt ihr nun eure Daten ein und fertig ist die Gateway Konfiguration.



Nun müsst ihr hier den Dienst noch freigeben. Auf dem Server macht ihr das unter dem Punkt "Allgemein" und "IP Addressen".



Hier könnt ihr noch die Rechte für die einzelnen Benutzer verteilen, und da müsst ihr natürlich allen Benutzern, die ICQ usw. nutzen sollen können, das Extra Gateway aktivieren.

Fertig mit der Konfiguration, und nun müsst ihr nur noch bei den Programmen als Server den Proxy Server eintragen und den Port, den ihr hier soeben reserviert habt.


4. Schutz vor Hacker-Angriffen

Einleitung

Um sich vor DoS-Attacks zu schützen, kann man unnützige Ports bei MIAMI abschalten.
Die meisten Ports werden nicht für den normalen User benötigt, weshalb man sie ohne Bedenken deaktivieren kann.
Wenn User diese Ports offen haben, kann man sie für LOOP-Attacks benutzen.
Das bedeutet, der Angreifer benutzt die Ports, um eine Wiederholschleife zu erzeugen.

Abschalten der Ports

Die Ports kann man in MIAMI relativ einfach abschalten. Dazu geht man ins Menü
Datenbank > Dienste und nun müsste folgendes Fenster erscheinen:



Hier sollte man die Dienste bzw. Ports

Echo, Time, Daytime und Chargen

anklicken, damit sie deaktiviert sind. Aber man sollte sie nicht gleich entfernen, weil man sie evtl. später doch mal fürs Netzwerk oder so benötigt.
Achtung: Es darf auf keinen Fall der Dienst Discard deaktiviert werden, weil es das genaue Gegenteil bewirkt.
Dieser Dienst ist dazu da, die Dienste auszuschalten, also disable bezogen auf Discard.



Nun muss man nur noch im Cycle-Menü auf INetD gehen und dieselben Dienste deaktivieren.
INetD ist für die vom Computer angebotenen Dienste da.
Das Untermenü Dienste bezieht sich dazu auf die Dienste des Servers!
Wenn alle speziellen Dienste auch hier deaktiviert wurden, ist man vor Loop-Attacks von der Serverseite aus und aus dem Internet relativ sicher.

Es ist natürlich klar, dass dieses nicht reicht, um 100% Schutz vor Hackern und DoS-Attacks zu bekommen.
Deswegen sollte man sich auch noch eine Firewall oder für die unerfahrenen User einen IP-Filter installieren!


5. Einrichten einer Firewall bzw. eines IP-Filters
Um sich sicher vor Hackern und DoS-Attacks zu schützen, ist es notwendig, sich einen IP-Filter oder eine Firewall einzurichten!

Sinn und Zweck eines IP-Filters oder Firewall:

IP-Filter
Ein IP-Filter ist, wie der Name schon sagt, für die IP-Nummern wichtig!
Der IP-Filter geht systematisch ein Liste durch und anhand dieser Liste wird einer IP-Nummer Zugriff auf einen gewissen Port oder Service erlaubt oder nicht!
Die Einrichtung eines IP-Filters ist sehr einfach und deswegen auch für den unerfahrenen User einfach zu realisieren!

Firewall
Die Firewall ist wesentlich komplizierter als ein IP-Filter. Es stehen auch mehr Funktionen als nur die Funktionen eines IP-Filters zur Verfügung.
Man kann z.B. Ports bzw. Protokolle komplett sperren oder auch Handshakeverfahren festlegen.
Eine Firewall wird in allen Großrechnern bzw. UNIX-Rechnern eingesetzt!
Der Sicherheitsstandard ist hierbei relativ hoch!
Leider kann man eine Firewall nur mit MIAMI DX einrichten!


Einrichten eines IP-Filters


Um einen IP-Filter mit MIAMI einzurichten, geht man einfach ins Menü unter Datenbank > IP-Filter und gibt dort die gewünschten Parameter ein!



Erklärung des Beispiels:


Zugriff auf eigene Schnittstelle erlauben:
*|*     |127.0.0.1||y|y => IP 127.0.0.1 hat vollen Zugriff


Diese Zeile erlaubt den Zugriff der IP 127.0.0.1 auf alle Services.
Die IP 127.0.0.1 ist die LOOPBACK IP. Sie ist für die Verbindung vom seinem Computer zum seinem Computer zuständig. Deswegen ist sie bei allen Rechnern immer dieselbe.
Außerdem wird noch alles aufgezeichnet. So erkennt man evtl. Backdoors oder Viren, die versuchen, sich über die Internetleitung ein Netzwerk zu anderen aufzubauen.


Zugriff auf Standardservices verweigern:

*|auth  | *.*.*.* ||n|y => Keinen Zugriff auf Service Auth
*|systat| *.*.*.* ||n|y => Keinen Zugriff auf Service Systat
*|whois | *.*.*.* ||n|y => Keinen Zugriff auf Service Whois
*|auth  | *.*.*.* ||n|y => Keinen Zugriff auf Service Auth
*|finger| *.*.*.* ||n|y => Keinen Zugriff auf Service Finger
*|who   | *.*.*.* ||n|y => Keinen Zugriff auf Service Who
*|login | *.*.*.* ||n|y => Keinen Zugriff auf Service Login


Diese Zeilen erlauben keinem Rechner die Zugriffe auf die Services Auth, Systat, Whois, Auth, Finger, Who oder Login. Normalerweise werden diese Services benötigt, um Auskunft über den Rechner zu bekommen.
Also wer ein bisschen unbekannter im Netz surfen will, sollte diese Einstellungen vornehmen, andere können sie weglassen.


Zugriff für bestimme Berreiche sperren:

*|$     | *.*.*.* ||n|y => Keinen Zugriff auf Services $


Diese Zeile verweigert allen Rechnern den Zugriff auf Nicht-Standardports, aber weil für FTP, Mailservice (POP3-E-Mail) usw. Zugriff auf bestimmte Ports benötig wird, wird durch das $ der Zugriff auf solche Ports erlaubt.
Aber diese Zugriffe werden auch gef. angezeigt.


Zugriff auf restliche Ports anzeigen und erlauben:

*|*     | *.*.*.* ||y|y => Zugriff auf Services


Diese Zeile erlaubt jetzt noch Zugriff auf die Ports, die noch nicht in der Liste genannt wurden.
Aber es wird jeder Zugriff protokolliert und sofort angezeigt.
Das ist nützlich, um festzustellen, ob man z.B. genukt wird.
Da die Ports außerhalb normaler Berreiche liegen, genauso wie die FTP-Ports, würden sie in der jetzigen Einstellung nicht angezeigt. Aber genau sowas macht einen guten IP-Filter aus.
Deswegen darf die letzte Zeile auf gar keinen Fall fehlen.
Die letzte Zeile darf auch nicht auf Zugriff n (no) stehen, weil sonst keine FTP- oder POP3-Verbindungen zu Stande kommen, weil diese Ports außerhalb des normalen Bereichs liegen.


Wichtige Zusatz-Infos:

Der IP-Filter geht die Einstellungen von oben nach unten systematisch durch, d.h.
wenn am Anfang Zugriff auf einen Service erlaubt wird, und weiter unten nicht, wird der untere Eintrag ignoriert.

Die Einträge können Online geändert werden, d.h. wenn man z.B. zuviele Anfragen von einem Recher bekommt, sollte man die letzte Zeile kurzzeitig auf Zugriff: N stellen.
Die Einstellungen werden sofort übernommen.

Der * steht für eine Variable, d.h. man kann auch einen Rechner, der eine dynamische IP hat, in den Filter übernehmen.
Ein Beispiel:

*|*     |233.2.*.*||n|y


Diesen Eintrag sollte man sofort machen, wenn Anfragen auf die sog. Nukeports kommen.
Oder wenn man mehr als 2-3 Anfragen hintereinander von dem Rechner bekommt, außer bei FTP-Servern.
Somit bekommt die IP bzw. der Angreifer überhaupt keinen Zugriff auf irgendwas und die Zugriffe werden auch mitprotokolliert.
Man sollte nur, wenn man den IP-Filter Online ändert, nicht vergessen, diesen dann auch zu speichern. ;-)

Download der Konfig:

Hier könnt ihr die oben genannte Konfig ganz einfach downloaden und müsst sie nicht eintippen.
Ihr müsst bei dem Konfigscreen einfach die rechte Maustaste drücken und aus dem Menü dann Importieren aus ASCII-Datei... auswählen.
Hier wählt ihr dann einfach die downgeloadete Konfig an. Fertig. So einfach geht das! ;-)

Hier klicken, um die Konfig downzuloaden!


Einrichten einer Firewall


Das Einrichten einer Firewall wird auf der Nordic Global Homepage ausführlich beschrieben.
Leider habe ich MIAMI DX nicht, somit kann ich das leider auch nicht beschreiben... :(


Ein IP-Filter oder eine Firewall bieten nur so viel Schutz, wie gut sie konfiguriert sind.
Natürlich kann man keine allgemeine Firewall bzw. einen allgemeinen IP-Filter festlegen, weil je nach Konfiguration und Rechner unterschiedliche Einstellungen besser geeignet sind.


6. Sicherheit im Internet

Vorwort

Das Internet bietet immer mehr Möglichkeiten an. Leider wächst damit auch die Zahl der Sicherheitslücken des Internets!
Deswegen möchte ich hier mal auf ein paar Sicherheitslücken im Netz hinweisen!
Erst mal was Rechtliches. Es versteht sich von selbst, dass keine der hier genannten Sicherheitslücken benutzt werden darf, um sich Zugriff auf ein fremden System zu verschaffen!

Einführung in ein UNIX (Linux) System

Jeder größere Internet-Provider ist ein UNIX (Linux) System. Dazu gehören z.B. Mailserver, Internetserver, IRC-Server, FTP-Server usw.
Deswegen ist es leider auch möglich, auf diese UNIX-Systeme zuzugreifen!
Deswegen mal zu ein paar der wichtigsten UNIX-Befehle:

CD = Springt ins Verzeichnis
CP = Kopiert Dateien 
LS = Listet Dateien auf
RM = Löscht Dateien
MV = Verschiebt Dateien
TOP = Zeigt laufende Systemprozesse
WHO = Zeigt User, die gerade Online sind


Wie sicherlich auffällt, sind die UNIX-Befehle sehr kurz, damit eine schnelle Eingabe erfolgen kann!

Nun mal zum Aufbau so eines UNIX-Systems:
Ein UNIX-System ist in 3 Teile unterteilt: Verzeichnis, Dateien und spezielle Dateien.


Verzeichniserklärung:

/etc - Enthält alle Dateien des Administrators, meistens hat aber ein
       normaler User keinen Zugriff darauf! Hier befindet sich auch die
       Passwortdatei (pwd bzw. passwd) und andere wichtige Dateien.
/dev - Enthält alle Dateien für virtuelle Laufwerke wie z.B. Drucker,
       Wechsellaufwerke und andere Dateisysteme.
/tmp - Dort befinden sich die temporären Dateien.
/lib - Dieses Verzeichnis enthält Programme für sehr hohe Programmier-
       sprachen.
/usr - Hier befindet sich die Schublade jedes einzelnen Benutzers.
/bin - Befehl-Schublade, hier sind die ausführbaren Programme für die
       einzelnen UNIX Befehle drin.



Aufbau der Passwortdatei

Nun mal, wie die Passwortdatei aufgebaut ist:
root:rootpasswort:0:1:0000:/:
sysadm:sysadmpasswort:0:0:administration:/
user/admin:/bin/rsh


Hier ist eine normal verschlüsselte PW-Datein dargestellt, d.h. man kann
sofort alles ablesen.

Aufbau einer Passwortdatei !

Nun mal zum Vergleich eine PW-Datei, wo PW-shadow aktiviert ist:

root:x:0:1:0000:/
sysadm:x:0:0:administration:/
user/admin:/bin/rsh


Wie ihr hier seht, ist statt das codierten Passwortes ein Stern. Die Datei, die jetzt alle Passwörter enthält, ist meist unter /etc/shadow gespeichert. Aber darauf hat nur der Administrator Zugriff.
Deshalb wird diese sicherere Möglichkeit immer öfters verwendet.


Zugriff auf die Passwortdatei

Wie kommt eigentlich ein normaler User an die Datei?

Zuerst einmal, Administratoren sind auch nur Menschen, d.h. sie machen auch Fehler und genau diese Fehler werden ausgenutzt.
Häufige Fehler sind dabei:

- Nicht verstecken der Passwörter in der Passwortdatei
- Anonymen FTP-Zugriff erlauben
- Zugriff auf ETC-Verzeichnis erlauben
- Keine Überwachung von Usern
- Veraltetes UNIX-System
- Backdoor installiert
- Sicherheitskopie der shadow-Datein in einen nicht sicheren Ordner speichern
- Remote Tools installiert (z.B. BackOffice)

Jetzt mal dazu, wie ein User überhaupt an solche Dateien kommt.
Meist loggt er sich durch ein FTP-Programm als Gast ein und bekommt, wenn er Glück hat, Zugriff auf das ETC-Verzeichnis.
Das wird meist nie gesperrt, bei neueren UNIX-Systemen ist das auch nicht nötig!
Hier kann man ja die Passwörter shadown.

Eine weitere weit verbreitete Art, wenn die erste Methode fehlschlug, ist die Benutzung eines normalen Internetbrowsers wie z.B. Voyager, um PW-Datei auszulesen.
Dabei wird auf eine Sicherheitslücke, die auf die PHF-Dateien zurückzuführen ist, benutzt.
PHF ist eine Datei im /cgi-bin Verzeichnis, die den Zugriff auf Dateien über das World Wide Web erlaubt.
Solche Programme nennt man auch Remote Tools!

Dazu tippt man einfach ein:

http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
 (xxx.xxx.xxx.xxx steht dabei für die IP-Adresse des UNIX-Rechners)


und schon erhält man die PW-Datei, vorausgesetzt, es gibt hier diese Sicherheitslücke!

Wenn jemand eine Passwortdatei samt Passwörter gefunden hat, hat er kompletten Zugriff auf den Rechner, d.h. er kann alle Dateien einsehen, kopieren, löschen...
Dazu muss er sich dann nur per Telnet einloggen!

Die meisten Leute, die sich in fremde Computer einhacken nennt man auch Hacker!
Im Gegensatz dazu stehen die Cracker, welche sich böswillig in ein Computersystem einloggen und es an sich reißen, Daten stehlen, Viren verbreiten usw...
Dabei haben Hacker eine ethische Moral, die aber immer anders definiert ist!
Aber die meisten "Hacker" halten sich an folgende Regeln:

- Hacken heißt nicht, Viren, Horses oder Trojaner einzuschleusen.
- Du sollst kein System/Netzwerke zerstören.
- Keine Erpressungen oder Drohungen
- Schaue nur Dateien an, die wichtig sein könnten (keine Industriespionage).
usw...

Natürlich gibt es noch mehr Sicherheitslücken, aber ich finde, diese ist eine von den bekanntesten und von den gefährlichsten!
Weshalb jeder Administrator oder Besitzer von Unix-Systemen diese Sicherheitslücken überprüfen sollte!
Aber in der jetzigen Zeit ist diese Methode veraltet und findet keine so große Anwendung mehr.


7. Schlusswort

Dieses soll nur eine kleine Einführung ins Netzwerk mit AMIGA und PC sein. Natürlich kommt da noch mehr dazu, wie z.B. Samba oder ein perfekter Proxy.
Aber leider fehlt mir dafür im Moment die Zeit.... :(
Solltet ihr in ein paar Sachen nicht mit mir übereinstimmen, so schreibt einfach ´ne E-Mail an Markus@reifanhp.de und verbessert mich einfach mal... ;)
Dieser Workshop wurde für die Seite von MrMarco extra überarbeitet und mit freundlichen Grüßen zur Verfügung gestellt... ;)

cU euer Markus B. alias TrOjAn



Besucht doch meine HP http://reifanhp.de





Copyright and HTML Design by Markus B.